Ogni settimanaI nostri sistemi di rilevamento malware analizzano migliaia di pacchetti nuovi e aggiornati su registri pubblici come npm e PyPI.
Questa settimana è stata particolarmente intensa.
Abbiamo confermato 93 pacchetti dannosi, principalmente attraverso npm, con casi aggiuntivi in PyPI, OpenVSXe Compositore. Diversi sono apparsi in cluster coordinati, con rilasci dannosi ripetuti pubblicati con gli stessi nomi o attraverso famiglie di pacchetti strettamente correlate. Molti imitavano moduli di pagamento e di checkout, enterprise e pacchetti web interni, clienti di analisi, Fondamenti dell'interfaccia utente, utilità per sviluppatori, esploratori di componenti, pacchetti a tema cloud e Googlee altri moduli comunemente utilizzati nei moderni flussi di lavoro di sviluppo.
Non si trattava di anomalie isolate. Ciò che ha colpito questa settimana è stata la portata delle pubblicazioni ripetute all'interno delle stesse famiglie di pacchetti, il riutilizzo di schemi di denominazione e il modo in cui i pacchetti dannosi venivano camuffati per apparire come dipendenze legittime all'interno di una distribuzione software reale. pipelines.
Questa istantanea settimanale fa parte del nostro continuo Digest del codice dannoso, dove convalidiamo le nuove minacce e forniamo informazioni utili per aiutare Team DevSecOps proteggere i loro pipelineprima che si verifichino danni.
Analizziamo nel dettaglio cosa abbiamo scoperto questa settimana e perché è importante.
| Ecosistema | CONFEZIONE | Data |
|---|---|---|
| npm | pa-marked:99.1.10 | APRILE 27, 2026 |
| pypi | moonbit-locale-compat:0.2.3 | APRILE 27, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.13 | APRILE 27, 2026 |
| npm | @sbt_gitverse/analytics-client:99.0.1 | APRILE 27, 2026 |
| npm | @frengki0707/google-cloud-clone:1.33.1 | APRILE 27, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.14 | APRILE 27, 2026 |
| npm | @tochka-ui/foundation:99.0.2 | APRILE 27, 2026 |
| OpenVSX | arcane-spark/ubel:0.1.0 | APRILE 28, 2026 |
| npm | @2011-08-19/n:99.9.9 | APRILE 28, 2026 |
| npm | @frengki0707/google-cloud-clone:1.38.0 | APRILE 27, 2026 |
| npm | @frengki0707/google-cloud-clone:1.38.1 | APRILE 27, 2026 |
| npm | @frengki0707/google-cloud-clone:1.39.0 | APRILE 27, 2026 |
| npm | @frengki0707/google-cloud-clone:1.43.0 | APRILE 27, 2026 |
| npm | @frengki0707/google-cloud-clone:1.44.0 | APRILE 27, 2026 |
| npm | google-logging-utils-internal:9.9.9 | APRILE 27, 2026 |
| npm | google-logging-utils-internal:1.1.4 | APRILE 27, 2026 |
| npm | @combinezone/theme:99.9.10 | APRILE 28, 2026 |
| npm | maninos:1.3.0 | APRILE 28, 2026 |
| npm | @inheritdoc/n:99.9.9 | APRILE 28, 2026 |
| npm | @mts-pay/web-sdk:99.9.9 | APRILE 28, 2026 |
| npm | @cashback/how-it-works-widget:99.9.9 | APRILE 28, 2026 |
| npm | @cashback/postale-premium: 99.9.9 | APRILE 28, 2026 |
| npm | @toprimitive/nif:99.9.9 | APRILE 28, 2026 |
| npm | @tostringtag/nsettostringtag:99.9.9 | APRILE 28, 2026 |
| npm | rtms-manager:1.4.0 | APRILE 28, 2026 |
| npm | vscode-component-explorer:99.9.15 | APRILE 28, 2026 |
| npm | js-component-explorer:99.9.16 | APRILE 27, 2026 |
| npm | js-component-explorer:99.9.17 | APRILE 27, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.15 | APRILE 27, 2026 |
| npm | @tochka-ui/foundation:99.0.3 | APRILE 27, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.16 | APRILE 27, 2026 |
| npm | @sbt_gitverse/analytics-client:99.0.4 | APRILE 27, 2026 |
| npm | @tochka-ui/foundation:99.0.4 | APRILE 27, 2026 |
| npm | kl-b2c-ui-kit:99.0.1 | APRILE 27, 2026 |
| compositore | dot-env-it/laravel-core-helper:v1.0.0 | APRILE 28, 2026 |
| npm | uipath-ui-widgets:1.0.1 | APRILE 28, 2026 |
| npm | applicazioni-autonome:1.0.1 | APRILE 28, 2026 |
| npm | @tw-utils/static:99.0.1 | APRILE 27, 2026 |
| npm | @tw-models/storage:99.0.1 | APRILE 27, 2026 |
| npm | @tw-marionette/clipboard:99.0.1 | APRILE 27, 2026 |
| npm | @tw-marionette/input:99.0.1 | APRILE 27, 2026 |
| npm | apollo-landing:1.0.1 | APRILE 28, 2026 |
| npm | process-app-task:1.0.1 | APRILE 28, 2026 |
| npm | apollo-vertex:1.0.1 | APRILE 28, 2026 |
| npm | @ozon-complt/split:99.0.1 | APRILE 27, 2026 |
| npm | @apple-pay-trust/destroy:99.0.1 | APRILE 27, 2026 |
| npm | @apple-pay-trust/merchant-session:99.0.1 | APRILE 27, 2026 |
| npm | @apple-pay-trust/start:99.0.1 | APRILE 27, 2026 |
| npm | @google-pay-trust/finish:99.0.1 | APRILE 27, 2026 |
| npm | @apple-pay-trust/finish:99.0.1 | APRILE 27, 2026 |
| npm | @apple-pay-trust/validate-merchant:99.0.1 | APRILE 27, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.17 | APRILE 27, 2026 |
| npm | @zirutan/utils:1.0.2 | APRILE 27, 2026 |
| npm | @zirutan/utils:1.0.4 | APRILE 27, 2026 |
| npm | report-ng:1.0.2 | APRILE 27, 2026 |
| npm | kl-b2c-ui-kit:99.0.2 | APRILE 27, 2026 |
| npm | @apple-pay-trust/authorize-payment:99.0.2 | APRILE 27, 2026 |
| npm | @google-pay-trust/authorize-payment:99.0.2 | APRILE 27, 2026 |
| npm | @ozon-complt/antibot-handler:99.0.2 | APRILE 27, 2026 |
| npm | @sbt_gitverse/analytics-client:99.0.5 | APRILE 27, 2026 |
| npm | @tw-models/storage:99.0.2 | APRILE 27, 2026 |
| npm | frank-bot-gogle-cloning:1.1.0 | APRILE 27, 2026 |
| npm | frank-research-poc-apple:1.1.4 | APRILE 27, 2026 |
| npm | @google-pay-trust/init-google-pay-result:99.0.2 | APRILE 27, 2026 |
| npm | @google-pay-trust/start:99.0.2 | APRILE 27, 2026 |
| npm | @b2b_blocker/show_activation_error:99.0.2 | APRILE 27, 2026 |
| npm | @business_promocode/cancel_promocode:99.0.2 | APRILE 27, 2026 |
| npm | @business_promocode/apply_promocode:99.0.2 | APRILE 27, 2026 |
| npm | @b2b_blocker/hide_activation_error:99.0.2 | APRILE 27, 2026 |
| npm | apple-internal-pki-utils:1.0.1 | APRILE 27, 2026 |
| npm | apple-internal-pki-trust-v5:1.0.0 | APRILE 27, 2026 |
| npm | @taxmoninor/taxmon:99.0.6 | APRILE 28, 2026 |
| npm | @alfa.life.mapp/app.web:99.0.19 | APRILE 28, 2026 |
| npm | @apiary-annex/meta:99.0.4 | APRILE 28, 2026 |
| npm | @apple-pay-trust/cancelled:99.0.3 | APRILE 28, 2026 |
| npm | @apple-pay-trust/check-apple-pay:99.0.3 | APRILE 28, 2026 |
| npm | @apple-pay-trust/check-apple-pay:99.0.4 | APRILE 28, 2026 |
| npm | @apple-pay-trust/finish:99.0.3 | APRILE 28, 2026 |
| npm | @apple-pay-trust/merchant-session:99.0.4 | APRILE 28, 2026 |
| npm | @apple-pay-trust/merchant-session:99.0.3 | APRILE 28, 2026 |
| npm | @apple-pay-trust/finish:99.0.4 | APRILE 28, 2026 |
| npm | @apple-pay-trust/destroy:99.0.4 | APRILE 28, 2026 |
| npm | @apple-pay-trust/destroy:99.0.3 | APRILE 28, 2026 |
| npm | @pyme-web/web-api:99.0.4 | APRILE 28, 2026 |
| npm | @google-pay-trust/authorize-payment:99.0.4 | APRILE 28, 2026 |
| npm | @google-pay-trust/finish:99.0.3 | APRILE 28, 2026 |
| npm | @google-pay-trust/init-google-pay:99.0.4 | APRILE 28, 2026 |
| npm | @google-pay-trust/start:99.0.4 | APRILE 28, 2026 |
| npm | kl-b2c-ui-kit:99.0.3 | APRILE 28, 2026 |
| npm | @ozon-complt/antibot-handler:99.0.3 | APRILE 28, 2026 |
| npm | @ozon-complt/antibot-handler:99.0.4 | APRILE 28, 2026 |
| npm | @tw-models/storage:99.0.3 | APRILE 28, 2026 |
| npm | @w3m-app/is_connected:99.0.4 | APRILE 28, 2026 |
| npm | @w3m-frame/session_update:99.0.4 | APRILE 28, 2026 |
| npm | accesso-angular-cache-buster:99.9.0 | APRILE 29, 2026 |
| npm | accesso-angular-cache-buster:99.0.0 | APRILE 29, 2026 |
| npm | hpsetup:2.0.0 | APRILE 29, 2026 |
Proteggi le tue dipendenze Open Source da vulnerabilità e codice dannoso
Riduci al minimo i rischi e proteggi le tue applicazioni da pacchetti dannosi con Rilevamento precoce di malware Xygeni. Dai priorità e affronta le vulnerabilità più importanti. La nostra soluzione completa offre un monitoraggio in tempo reale delle tue dipendenze per rilevare e mitigare le minacce prima che abbiano un impatto sul tuo software.
La gestione dei componenti open source nell’attuale panorama dello sviluppo software è fondamentale a causa delle crescenti vulnerabilità e delle minacce di codici dannosi. Quello di Xygeni Open Source Security La soluzione esegue la scansione e blocca i pacchetti dannosi al momento della pubblicazione, riducendo drasticamente al minimo il rischio che malware e vulnerabilità si infiltrino nei sistemi. Il nostro monitoraggio completo abbraccia più registri pubblici, garantendo che tutte le dipendenze siano esaminate attentamente per quanto riguarda sicurezza e integrità. Xygeni migliora la capacità del tuo team di mantenere progetti software sicuri e affidabili dando priorità contestualmente ai problemi critici e facilitando processi di risoluzione semplificati.
Xygeni utilizza tecniche multilivello per bloccare il codice dannoso prima che si diffonda. Innanzitutto, l'analisi statica del codice rileva modelli di offuscamento, payload nascosti e abusi di script. Inoltre, il sandboxing comportamentale analizza l'installazione hooks, comandi di runtime e trucchi di persistenza. Inoltre, il rilevamento basato sull'apprendimento automatico identifica il malware npm zero-day e le varianti di malware pypi non rilevate dagli scanner di firme. Infine, il sistema di allerta precoce monitora i repository pubblici in tempo reale, convalida i risultati e avvisa immediatamente i team DevOps.
Di conseguenza, questa combinazione garantisce che gli sviluppatori ricevano informazioni rapide e fruibili integrate direttamente in CI/CD flussi di lavoro.
Perché gli sviluppatori dovrebbero preoccuparsi dei pacchetti npm dannosi
Le minacce moderne raramente attendono il runtime. Ad esempio, i pacchetti npm dannosi spesso vengono eseguiti durante l'installazione, mentre i pacchetti pypi dannosi nascondono esfiltrazioni di token o backdoor. Gli aggressori:
- Trasforma i repository GitHub privati in pubblici per replicarli.
- Esfiltrare credenziali e segreti utilizzando payload codificati.
- Utilizzare caricatori JavaScript offuscati per distribuire ransomware o botnet.
Infatti, i pacchetti open source dannosi sono aumentati del 156% in un anno. Pertanto, i team che si affidano solo a feed ritardati o scanner di base restano indietro.
Cosa traccia questo report sui malware in npm e PyPI
Questo digest è il fulcro centrale per:
- Pacchetti npm dannosi confermati
- Pacchetti dannosi pypi confermati
- Rilevamenti di codice dannoso basati sul comportamento
- Incidenti confermati dal registro
- Riepiloghi settimanali e mensili dei report sui malware
- Registro storico delle modifiche di tutti i malware npm e malware pypi rilevati
In altre parole, fornisce un unico punto di riferimento. Il team di ricerca di Xygeni aggiorna questa pagina settimanalmente con link ad analisi tecniche complete e IOC su GitHub.
Come proteggersi dai pacchetti npm dannosi e dal malware PyPI
A causa di questo rischio crescente, le organizzazioni hanno bisogno di difese forti:
- Imponi installazioni solo con file di blocco (
npm ci) in CI/CD. - Inoltre, le dipendenze di scansione vengono preinstallate con il motore di allerta precoce di Xygeni.
- Inoltre, il blocco si basa su segnali di codice dannoso utilizzando Guardrails.
- Generare SBOMper tracciare le dipendenze indirette e applicare le policy.
- Soprattutto, addestrare gli sviluppatori a individuare typosquatting, offuscamenti e script di installazione sospetti.
Prova gli strumenti di rilevamento malware di Xygeni
Xygeni offre:
- Rilevamento in tempo reale di codice dannoso, tra cui backdoor, spyware e ransomware.
- A differenza degli scanner di base, l'analisi su npm, PyPI, Maven, NuGet, rubino gemmeE altro ancora.
- Blocco automatico della build quando il report sul malware identifica un rischio.
- Informazioni sulla sfruttabilità, controlli della reputazione del manutentore e rilevamento delle anomalie.
